Sobre a LGPD

1. O que é?

A Lei  n.º 13.709/2018, conhecida como Lei Geral de Proteção de Dados, passou a viger desde setembro de 2020 e tem por objetivo a regulamentação do tratamento de dados pessoais, por meios físicos ou digitais com o fim de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A lei se aplica a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais. Dessa forma, a legislação possui aplicação ampla e abrangente, ou seja, grande parte de projetos e atividades do cotidiano empresarial.
A Lei também tem aplicação extraterritorial, ou seja, às empresas que não só tenham estabelecimento no Brasil; mas também ofereçam serviços ao mercado consumidor brasileiro; ou coletem e tratem dados de pessoas localizadas no país.

A legislação proporciona maior segurança jurídica, padronização em relação ao tratamento dos dados pessoais, insere o Brasil em um patamar de competitividade com os demais países que possuem legislação semelhante, ensejando a atração de investimentos ante o nível de proteção legal agora existente.

2. Quando a legislação não se aplica?

Inobstante a vasta abrangência da legislação, o artigo 4º da Lei n.º 13.709/2018 elenca as situações nas quais a LGPD não pode ser aplicada. Dessa forma, a legislação não se aplica ao tratamento de dados pessoais quando: 1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 2) realizado para fins exclusivamente: jornalístico e artísticos; ou acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; realizado para fins exclusivos de: segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

3. Princípios gerais da proteção de dados pessoais

A LGPD, em seu Art. 6.º lista 10 princípios que devem ser levados em consideração no tratamento de dados pessoais:

I - FINALIDADE: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados;

VI - TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

VII - SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4. Quais são as bases legais para o tratamento de dados pessoais?

Para o uso de dados pessoais, as empresas deverão comprovar ao menos uma das seguintes bases legais para realizar o tratamento desses dados (art. 7º):
I - consentimento pelo titular: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
II - cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
IV - para a realização de estudos por órgão de pesquisa;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, consideradas a partir de situações concretas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito.
Neste tópico, importante destacar, ainda, o tratamento diferenciado aos dados sensíveis, uma vez que para esses tipos de dados, o tratamento só poderá ocorrer consoante as hipóteses previstas no Art. 11.º da Legislação, in verbis:
I – consentimento pelo titular, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.